EU, 미국과의 ‘세이프 하버’ 협정 전면 무효화와 정보주권

1. ECJ(European Court of Justice)의 세이프 하버 협정(Safe Harbor Agreement) 무효화 결정

가. 세이프 하버 협정(Safe Harbor Agreement)의 의의와 기능

1) EU의 역외 이전 근거

1995년 제정된 EU의 정보보호 지침(Data Protection Directive, Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data 이하 ‘EU 정보보호 지침’)에서는 EU의 개인정보 역외 이전에 관하여 적정한 보호 수준을 보장하고 있는 제3국에 한하여 그 역외 이전이 가능하다고 정하고 있다. 보호 수준의 적정성은 목적제한, 데이터품질, 투명성, 안전성, 열람․정정 및 반대권, 개인정보 제공 제한 등의 6개 원칙과 민감정보 처리제한, 직접적인 마케팅 제한, 자동화된 결정 제한 등의 3개 추가원칙과 더불어 절차적․집행적 측면에서 준수 정도를 종합하여 EC(European Council 이하 ‘EC’)에서 정하도록 하고 있다. EC는 위의 수준에 적합한지 판단하여 제3국으로의 EU 시민들의 개인정보 역외 이전을 허용하고 있는 것이다.1

EC의 적정성 판단에 의한 승인 외에 EC가 채택한 표준 정보보호계약 조항(Standard Contractual Clauses)에 따라 개인정보 처리자와 개인정보 주체 사이에 정보보호계약을 체결한 경우에는 위의 승인이나 개인정보보호기구의 사전 승인 없이 역외 이전이 가능하다. 또한 EC가 채택한 표준 정보보호계약 조항 따르지 않고 개인정보 처리자와 개인정보 주체 사이에 법률적으로 구속력을 가지는 임의의 정보보호계약을 체결한 경우에는 개인정보보호기구의 별도의 승인을 받아야 한다. 마지막으로 기업 내 모든 구성원에게 적용되는 구속력 있는 정보보호 관련 사규(Binding Corporate Rules)를 제정하고 이를 개인정보보호기구로부터 사전 승인을 받아 개인정보를 역외이전 할 수 있다.

2) 세이프 하버 협정의 의의와 효과

지침(Directive)이라고 하는 것은 EU의 회원국이 추구하여야 하는 정책 목표를 제시하고 회원국들로 하여금 국내입법을 통하여 그 수단을 마련하게 하는 것을 효과를 갖는다. 이는 회원국의 이행조치(국내법 개정 및 신규입법을 통한 지침의 이행)를 통해서만 법적 구속력이 발생하는데, 위의 EU 정보보지침으로 인하여 개별 회원국들이 개인정보보호와 관련한 국내 입법을 처리하게 되었다. 정보보호지침으로 인한 개인정보보호 법률의 제․개정 이전 EU 회원국 시민들의 개인정보를 제3의 지역(미국 본토 혹은 제3국의 데이터 센터)으로 전송하여 처리하고 있던 미국의 주요 글로벌 기업들은 이러한 규범 환경의 변화로 인하여 컴플라이언스에 따른 비용의 발생 등 어려움을 겪게 되었다.

미국기업의 애로사항을 해결하고 해외진출을 지원하기 위하여 2000년 10월 26일 미국은 EU와 세이프 하버 협정을 체결하고 EU가 규율하고 있는 바에 따른 조치를 취하지 않더라도, 개인정보의 제3자국으로의 역외 이전을 허용할 수 있도록 하였다. 미국 상무부는 고지정책, 선택권 부여, 재이전의 제한, 접근권한, 안전조치, 정보의 무결성 관리, 집행의무 등을 인증 항목으로 정하여 기업들이 정보 주체의 개인정보 보호를 위한 자율적인 감시 체계를 마련하도록 하고 자율인증서를 작성하여 제출하고, 수수료를 납부하면 세이프 하버 인증 마크를 부여하여 관리하도록 하였다. 이렇듯 미국 상무부가 세이프 하버 인증 마크를 부여하여 관리하고 있는 기업들은 역외 이전되는 개인정보에 대하여 적정한 보호 수준이 보장되고 있다고 간주하는 것으로, EU 회원국 시민들의 개인정보를 역외로 이전할 수 있었던 것이다.

나. 미국 NSA(National Security Agency)의 프리즘 프로젝트(Prism Project)와 세이프 하버 협정

2013년 전직 CIA(Central Intelligence Agency)요원이었던 에드워드 스노든(Edward Snowden)은 미국 안전보장국(National Security Agency)의 전세계 사찰(개인정보 감시) 사실을 폭로하였는데, 소위 프리즘(PRISM Project)이라고 불린 감시 체계는 2001년 발생한 9.11 테러 이후 미국 국내․외를 대상으로 무차별적으로 통신 기록을 압수하고 통화 내역을 도청하는 등 개인정보를 수집하는 것을 내용으로 한다. 구글이나 페이스북, 애플 등 모든 인터넷 서비스 제공자들을 대상으로도 정보를 수집한 것이 알려지면서 EU내에서는 미국과 체결한 세이프 하버 협정에 대한 회의론이 제기되었다. 이 시기 EU 집행위원회는 미국이 유럽시민들의 개인정보를 보호하지 않으면 그 동안 EU가 미국 IT업계에 혜택을 주었던 세이프 하버 협정을 폐기 할 수 있다고 밝히기도 하였다.

다. 막스 슈램스(Max Schrems)의 세이프 하버 협정(Safe Harbor Agreement)에 대한 위법성 제기와 ECJ(European Court of Justice)의 판결

오스트리아의 법대생이었던 막스 슈렘스(Max Schrems)는 EU회원국 시민들의 개인정보 미국이전에 대한 유럽 정보보호법 위반 문제를 소로 다투었다. 슈렘스는 페이스북 유럽 본부가 주재하고 있던 아일랜드에서 페이스북이 유럽 국가의 정보보호법(개인정보 수집과 보존 및 해당 절차 등)을 위반2하였다고 아일랜드 개인정보보호기구(Data Protection Authority)에 제소하였다. 아일랜드 개인정보보호기구는 EU와 미국 간의 세이프 하버 협정을 조사할 근거가 없다는 결론을 내렸고, 이에 불만을 가지고 아일랜드 고등법원에 아일랜드 정보보호 기구의 결정을 검토해 줄 것을 다시 의뢰하였던 것이다. 이에 관하여 EU 관련 법률과 관련된 소송으로 회원국 내 일관된 판단을 얻기 위해 아일랜드 고등법원은 사안을 ECJ에 회부하게 되었고, ECJ는 세이프 하버 협정을 허용할 경우 미국 정부가 EU의 온라인 정보에 수시로 접속할 수 있게 된다면서 협약 자체에 흠결이 많다고 판결하고, 실질적으로 세이프 하버 협정을 무효화 하였다.

2. 인터넷 서비스의 글로벌화와 정보 주권의 보장

인터넷이 가지는 개방성과 정보의 자유로운 유통이라는 특성 때문에 인터넷 서비스 또한 국경에 국한되지 않고 글로벌화된 형태로 발전하고 있다. ECJ의 세이프 하버 협정 무효화 이후 미국의 기업들은 미국 상무부를 압박하여 EU와 새로운 형태의 협정을 체결하여 줄  것을 요청하는 한편, 유럽 내 데이터 센터 설치 등도 고려하고 있는 것으로 알려졌다.34 기업들은 서비스 제공을 위해 필요한 데이터센터의 설치 등을 가장 저렴한 비용으로 해결하고자 하는데, 이러한 요청에 의해 이용자의 개인정보 국외 이전은 매우 중요한 문제로 인식된다.

우리 인터넷 기업의 글로벌 경쟁력 확보를 위해서는 시장이 요구하는 적절한 수준의 개인정보 보호 조치가 필요하다고 할 것인데, 이와 관련하여 최근 행정자치부, 외교부, 방송통신위원회, 산업통상자원부, 미래창조과학부 등 5개 부처는 EU 개인정보 보호 적정성 평가 추진단을 민․관 합동으로 구성하여 국가 차원에서 EU 개인정보 보호 적정성 평가를 받아 개별 기업의 유럽 진출을 지원할 수 있도록 하는 노력을 시작5한 사실은 매우 고무적이라고 할 수 있다.

뿐만 아니라, 금번 ECJ의 판결은 개인정보의 국외 이전이 정보주권 및 개인정보 자기결정권의 행사(개인적 권리 보자)에만 국한 되는 것이 아니라 국가 안보와도 연결될 수 있음을 보여주는 사례라고 할 수 있다.

우리 국민들의 정보주권 보장과 국가 안보의 강화를 위해서는 글로벌 기업에 대한 개인정보의 국외 이전과 관련한 우리의 규범체계를 보장토록 하는 것이 중요하다.

———————————————————————————————–

  1. 김현진/이보옥, EU-美간 세이프하버 결정의 무효 판결과 시사점, 『NIA PRIVACY ISSUES』, 제15호, 1. [본문으로]
  2. 프리즘 프로젝트 등으로 미국으로 이전되는 페이스북의 유럽 이용자들의 개인정보가 미국 정부에 이용될 수 있으므로 세이버 하버는 적정한 보호 수준을 제공하지 않으며, 유럽의 개인정보보호 법률을 위반한다는 것이 요지 [본문으로]
  3. ZDNet(2015.10.27.), ‘세이프하버’ 막힌 美-EU, 새 통로 뚫었다, available: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151027143745&type=det&re= [본문으로]
  4. 한국정보화진흥원 ICT미래전략센터. 『ICT Issues Weekly』 제514호, 4. [본문으로]
  5. 조선비즈(2015.10.12.), 범정부 EU 개인정보 적합성 인증 TFT 출범, avilable: http://biz.chosun.com/site/data/html_dir/2015/10/12/2015101201506.html [본문으로]
저자 : 권헌영

고려대학교 정보보호대학원 교수/KISO 저널 편집위원/(전)광운대학교 과학기술법학과 교수